https://opennet.dev/openforum/vsluhforumID1/85195.html Привет Всем<br>Задача - шейпить свою локалку на 1к чел. 50% безлимитчиков, безлимиты от 1Мбита(1, 5,10).<br>Сейчас стоит 2-а VPN сервера на FreeBSD на них и кручу ограничения, но с этим проблоемы - канал меньше :)<br>Хочу поставить 2-а сервака(c CARP например) и через них пропускать трафф (до 120Мбит инет и 1Гигабит(загружено до 100Мбит) паритетная сеть).<br><br>Так же повесить там НАТ+BGP(внешка)+OSPF(внутренка)<br>Хотелось бы сделать так:<br><br>Каждый клиент имеет приоритет в канале и... если канал простаивает - пользуйся не жалко, но если канал перегружен - будь добр получи определённый приоритет в канале.<br>Если надо кому-то дать не больше какой-то скорости - ограничиваю на ВПН-сервере и ставлю приоритет по больше...<br><br>Так вот денег на циску или что-то железное нет, так что задача организовать на писюке...<br><br>Вот сижу и думаю на чем это делать...<br>Желателен задел на будущее :)<br> https://opennet.dev/openforum/vsluhforumID1/85195.html#6 Mon, 18 May 2009 20:05:30 GMT &gt;&gt;Не работало вот так: <br>&gt;&gt;<br>&gt;<br>&gt;[оверквотинг удален] <br>&gt;<br>&gt;У меня tcpdump показывал, что ответные UDP (и ICMP) пакеты не проходили <br>&gt;снаружи внутрь, к абоненту. На ipfw у меня dummynet, на pf <br>&gt;[BI-]NAT. "Вскрытие" показало, что пакеты блокируются после входа в pipe, несмотря <br>&gt;на наличие дальнейшего разрешающего правила. В итоге сделал так. <br><br>Угу примерно так, но не помню точно...<br>Помню, что Я делал одно правило allow all from any to any (вроде...)<br>Еще вроде компилил ядро с отключеным ipfw и отключал его при загрузке...<br>И это не помогло....<br> https://opennet.dev/openforum/vsluhforumID1/85195.html#5 Mon, 18 May 2009 13:53:00 GMT &gt;Не работало вот так: <br>&gt;<br><br>[оверквотинг удален]<br><br>У меня tcpdump показывал, что ответные UDP (и ICMP) пакеты не проходили снаружи внутрь, к абоненту. На ipfw у меня dummynet, на pf [BI-]NAT. "Вскрытие" показало, что пакеты блокируются после входа в pipe, несмотря на наличие дальнейшего разрешающего правила. В итоге сделал так.<br><br>Было:<br># Rule 3000: generated by utm2shaper script from billing database<br>$ipfw add $shapers_rulenum queue tablearg all from any to 'table(4)' // Incoming traffic shaping<br>$ipfw add $shapers_rulenum queue tablearg all from 'table(5)' to any // Outgoing traffic shaping<br><br><br>Стало:<br># Rule 3000: generated by utm2shaper script from billing database<br>$ipfw add $shapers_rulenum queue tablearg all from any to 'table(4)' xmit $int_if // Incoming traffic shaping<br>$ipfw add $shapers_rulenum queue tablearg all from 'table(5)' to any xmit $ext_if // Outgoing traffic shaping<br><br>В таблицах содержатся локальные адреса пользователей и номера pipe, в которые их нужно адресовать:<br>root https://opennet.dev/openforum/vsluhforumID1/85195.html#4 Mon, 18 May 2009 12:49:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;pf на 7.1 вдруг перестал udp nat'ить, что очень важно для онлайн <br>&gt;&gt;игр :) <br>&gt;<br>&gt;Нифига, работает. Сначала тоже с этим столкнулся, у меня ipfw + pfnat. <br>&gt;Починилось путём явного указания для dummynet и pfnat, на каких интерфейсах <br>&gt;шейпить и натить. И где-то встречал в рассылках такое же описание, <br>&gt;поскольку вроде в семёрке они по изменили значения по умолчанию (лень, <br>&gt;лень искать более подробно). <br>&gt;<br><br>Не работало вот так:<br><br>ext_if="vlan20"<br>scrub in all fragment reassemble<br>set skip on lo0<br>nat on $ext_if from &lt;inat&gt; to any -&gt; {91.203.XXX.XXX}<br>pass all<br><br>То есть надо было?Или причина в нате на влане?:<br>ext_if="vlan20"<br>scrub in all fragment reassemble<br>set skip on lo0<br>nat on $ext_if from &lt;inat&gt; to any -&gt; ($ext_if)<br>pass all<br> https://opennet.dev/openforum/vsluhforumID1/85195.html#3 Mon, 18 May 2009 10:02:22 GMT &gt;&gt;А связка quagga + (pf+altq) такую нагрузку не тянет? <br>&gt;<br>&gt;pf на 7.1 вдруг перестал udp nat'ить, что очень важно для онлайн <br>&gt;игр :) <br><br>Нифига, работает. Сначала тоже с этим столкнулся, у меня ipfw + pfnat. Починилось путём явного указания для dummynet и pfnat, на каких интерфейсах шейпить и натить. И где-то встречал в рассылках такое же описание, поскольку вроде в семёрке они по изменили значения по умолчанию (лень, лень искать более подробно).<br><br>&gt;ЗЫ: <br>&gt;Меня интересует как можно больше скорости выжать... <br>&gt;Может взять - протестировать Linux... https://opennet.dev/openforum/vsluhforumID1/85195.html#2 Fri, 08 May 2009 06:38:44 GMT &gt;А связка quagga + (pf+altq) такую нагрузку не тянет? <br><br>pf на 7.1 вдруг перестал udp nat'ить, что очень важно для онлайн игр :)<br>ЗЫ:<br>Меня интересует как можно больше скорости выжать...<br>Может взять - протестировать Linux...<br><br> https://opennet.dev/openforum/vsluhforumID1/85195.html#1 Fri, 08 May 2009 05:54:37 GMT А связка quagga + (pf+altq) такую нагрузку не тянет?<br>